ਟ੍ਰੀਵੀ ਦੁਬਾਰਾ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਰਾਜ਼
ਟਿੱਪਣੀਆਂ
Mewayz Team
Editorial Team
ਮੁੜ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਭੇਦ
ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ ਇਸਦੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਜਿੰਨੀ ਹੀ ਮਜ਼ਬੂਤ ਹੈ। ਅਣਗਿਣਤ ਵਿਕਾਸ ਟੀਮਾਂ ਲਈ, ਉਹ ਲਿੰਕ ਉਹ ਸਾਧਨ ਬਣ ਗਏ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਟ੍ਰੀਵੀ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਓਪਨ-ਸਰੋਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰ ਜੋ Aqua ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਹੈ, ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਪਾਇਆ। ਖ਼ਰਾਬ ਅਦਾਕਾਰਾਂ ਨੇ ਇਸਦੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ (`v0.48.0`) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਰਕਫਲੋ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਭੇਦ ਚੋਰੀ ਕਰਨ ਲਈ ਬਣਾਏ ਗਏ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ। ਇਹ ਘਟਨਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਟੈਗ ਸਮਝੌਤਾ ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ
ਇਹ ਟ੍ਰੀਵੀ ਦੇ ਕੋਰ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਸੀ, ਪਰ ਇਸਦੇ CI/CD ਆਟੋਮੇਸ਼ਨ ਦਾ ਇੱਕ ਚਲਾਕ ਵਿਗਾੜ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, 'v0.48.0' ਟੈਗ ਲਈ `action.yml` ਫਾਈਲ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਬਣਾਇਆ। ਜਦੋਂ ਇੱਕ ਡਿਵੈਲਪਰ ਦੇ ਵਰਕਫਲੋ ਨੇ ਇਸ ਖਾਸ ਟੈਗ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ, ਤਾਂ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਟ੍ਰੀਵੀ ਸਕੈਨ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ। ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਲਈ - ਜਿਵੇਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਟੋਕਨ, ਕਲਾਉਡ ਪ੍ਰਦਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ API ਕੁੰਜੀਆਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਇਸਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਹੈ; ਸੁਰੱਖਿਅਤ `@v0.48` ਜਾਂ `@main` ਟੈਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਏ, ਪਰ ਜਿਨ੍ਹਾਂ ਨੇ ਸਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕੀਤਾ, ਉਹਨਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕੀਤੀ।
ਇਹ ਘਟਨਾ DevOps ਵਿਸ਼ਵ ਭਰ ਵਿੱਚ ਕਿਉਂ ਗੂੰਜਦੀ ਹੈ
ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਪਹਿਲਾਂ, ਟ੍ਰੀਵੀ ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਾਧਨ ਹੈ ਜੋ ਲੱਖਾਂ ਲੋਕਾਂ ਦੁਆਰਾ ਕੰਟੇਨਰਾਂ ਅਤੇ ਕੋਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਸਾਧਨ 'ਤੇ ਹਮਲਾ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਲਈ ਲੋੜੀਂਦੇ ਬੁਨਿਆਦ ਭਰੋਸੇ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ। ਦੂਜਾ, ਇਹ "ਉੱਪਰ ਵੱਲ" ਜਾਣ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਸਾਧਨਾਂ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਬਣਾਏ ਗਏ ਹਨ। ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਕੇ, ਉਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਘਟਨਾ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਕੇਸ ਅਧਿਐਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕੋਈ ਵੀ ਔਜ਼ਾਰ, ਭਾਵੇਂ ਕਿੰਨਾ ਵੀ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਹੋਵੇ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਲਈ ਪ੍ਰਤੀਰੋਧਕ ਨਹੀਂ ਹੈ।
"ਇਹ ਹਮਲਾ ਡਿਵੈਲਪਰ ਵਿਹਾਰ ਅਤੇ CI/CD ਮਕੈਨਿਕਸ ਦੀ ਇੱਕ ਵਧੀਆ ਸਮਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕਰਨਾ ਅਕਸਰ ਸਥਿਰਤਾ ਲਈ ਇੱਕ ਵਧੀਆ ਅਭਿਆਸ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਪਰ ਇਹ ਘਟਨਾ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਜੋਖਮ ਵੀ ਪੇਸ਼ ਕਰ ਸਕਦੀ ਹੈ ਜੇਕਰ ਉਸ ਖਾਸ ਸੰਸਕਰਣ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਬਕ ਇਹ ਹੈ ਕਿ ਸੁਰੱਖਿਆ ਇੱਕ ਨਿਰੰਤਰ ਪ੍ਰਕਿਰਿਆ ਹੈ, ਇੱਕ ਵਾਰ ਸੈੱਟਅੱਪ ਨਹੀਂ।"
ਤੁਹਾਡੀਆਂ GitHub ਕਾਰਵਾਈਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਦਮ
ਇਸ ਘਟਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਪਣੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ। ਸੰਤੁਸ਼ਟੀ ਸੁਰੱਖਿਆ ਦੀ ਦੁਸ਼ਮਣ ਹੈ। ਇੱਥੇ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਹਨ:
- ਟੈਗਸ ਦੀ ਬਜਾਏ ਕਮਿਟ SHA ਪਿਨਿੰਗ ਦੀ ਵਰਤੋਂ ਕਰੋ: ਹਮੇਸ਼ਾ ਉਹਨਾਂ ਦੀ ਪੂਰੀ ਕਮਿਟ ਹੈਸ਼ ਦੁਆਰਾ ਕਾਰਵਾਈਆਂ ਦਾ ਹਵਾਲਾ ਦਿਓ (ਉਦਾਹਰਨ ਲਈ, `actions/checkout@a81bbbf8298c0fa03ea29cdc473d45769f953675`)। ਇਹ ਗਾਰੰਟੀ ਦੇਣ ਦਾ ਇੱਕੋ ਇੱਕ ਤਰੀਕਾ ਹੈ ਕਿ ਤੁਸੀਂ ਕਾਰਵਾਈ ਦਾ ਇੱਕ ਅਟੱਲ ਸੰਸਕਰਣ ਵਰਤ ਰਹੇ ਹੋ।
- ਆਪਣੇ ਮੌਜੂਦਾ ਵਰਕਫਲੋ ਦਾ ਆਡਿਟ ਕਰੋ: ਆਪਣੀ `.github/workflows` ਡਾਇਰੈਕਟਰੀ ਦੀ ਜਾਂਚ ਕਰੋ। ਟੈਗਾਂ 'ਤੇ ਪਿੰਨ ਕੀਤੀਆਂ ਕਿਸੇ ਵੀ ਕਾਰਵਾਈਆਂ ਦੀ ਪਛਾਣ ਕਰੋ ਅਤੇ ਉਹਨਾਂ ਨੂੰ SHAs ਲਈ ਬਦਲੋ, ਖਾਸ ਤੌਰ 'ਤੇ ਨਾਜ਼ੁਕ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਲਈ।
- GitHub ਦੀਆਂ ਸੁਰੱਖਿਆ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਲਾਭ ਉਠਾਓ: ਲੋੜੀਂਦੀ ਸਥਿਤੀ ਜਾਂਚਾਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ ਅਤੇ `ਵਰਕਫਲੋ_ਪਰਮਿਸ਼ਨ` ਸੈਟਿੰਗ ਦੀ ਸਮੀਖਿਆ ਕਰੋ, ਉਹਨਾਂ ਨੂੰ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਸਿਰਫ਼ ਰੀਡ-ਓਨਲੀ 'ਤੇ ਸੈੱਟ ਕਰੋ ਤਾਂ ਜੋ ਸਮਝੌਤਾ ਕੀਤੀ ਕਾਰਵਾਈ ਤੋਂ ਸੰਭਾਵੀ ਨੁਕਸਾਨ ਨੂੰ ਘੱਟ ਕੀਤਾ ਜਾ ਸਕੇ।
- ਅਸਾਧਾਰਨ ਗਤੀਵਿਧੀ ਲਈ ਮਾਨੀਟਰ: ਤੁਹਾਡੇ ਭੇਦ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਚਾਨਕ ਆਊਟਬਾਉਂਡ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ ਜਾਂ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਕੋਸ਼ਿਸ਼ਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਤੁਹਾਡੀਆਂ CI/CD ਪਾਈਪਲਾਈਨਾਂ ਲਈ ਲੌਗਿੰਗ ਅਤੇ ਨਿਗਰਾਨੀ ਨੂੰ ਲਾਗੂ ਕਰੋ।
ਮੇਵੇਜ਼ ਨਾਲ ਇੱਕ ਲਚਕੀਲਾ ਫਾਊਂਡੇਸ਼ਨ ਬਣਾਉਣਾ
ਜਦੋਂ ਕਿ ਵਿਅਕਤੀਗਤ ਔਜ਼ਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਲਚਕੀਲਾਪਣ ਤੁਹਾਡੇ ਕਾਰੋਬਾਰੀ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪਹੁੰਚ ਤੋਂ ਆਉਂਦਾ ਹੈ। ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਵਰਗੀਆਂ ਘਟਨਾਵਾਂ ਆਧੁਨਿਕ ਟੂਲਚੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਛੁਪੀਆਂ ਗੁੰਝਲਾਂ ਅਤੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ। ਮੇਵੇਜ਼ ਵਰਗਾ ਪਲੇਟਫਾਰਮ ਇੱਕ ਏਕੀਕ੍ਰਿਤ, ਮਾਡਯੂਲਰ ਵਪਾਰਕ OS ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰਭਰਤਾ ਫੈਲਾਅ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਬਜਾਏ-ਹਰ ਇੱਕ ਆਪਣੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਤੇ ਅੱਪਡੇਟ ਚੱਕਰ ਦੇ ਨਾਲ-ਮੇਵੇਜ਼ ਇੱਕ ਸਿੰਗਲ, ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਬੰਧਨ, CRM, ਅਤੇ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਬੰਧਨ ਵਰਗੇ ਮੁੱਖ ਕਾਰਜਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਕਸੁਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਸ਼ਾਸਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਖੰਡਿਤ ਸੌਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਪੈਚ ਕਰਨ ਦੀ ਬਜਾਏ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਅਜਿਹੀ ਦੁਨੀਆ ਵਿੱਚ ਜਿੱਥੇ ਇੱਕ ਇੱਕਲੇ ਸਮਝੌਤਾ ਟੈਗ ਇੱਕ ਵੱਡੀ ਉਲੰਘਣਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਮੇਵੇਜ਼ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਏਕੀਕ੍ਰਿਤ ਸੁਰੱਖਿਆ ਅਤੇ ਸੁਚਾਰੂ ਕਾਰਜ ਵਿਕਾਸ ਲਈ ਇੱਕ ਵਧੇਰੇ ਨਿਯੰਤਰਿਤ ਅਤੇ ਆਡਿਟ ਕਰਨ ਯੋਗ ਬੁਨਿਆਦ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
💡 DID YOU KNOW?
Mewayz replaces 8+ business tools in one platform
CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.
Start Free →ਅਕਸਰ ਪੁੱਛੇ ਜਾਣ ਵਾਲੇ ਸਵਾਲ
ਮੁੜ ਹਮਲੇ ਦੇ ਅਧੀਨ: ਵਿਆਪਕ GitHub ਐਕਸ਼ਨ ਟੈਗ ਸਮਝੌਤਾ ਭੇਦ
ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ ਇਸਦੀ ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਲਿੰਕ ਜਿੰਨੀ ਹੀ ਮਜ਼ਬੂਤ ਹੈ। ਅਣਗਿਣਤ ਵਿਕਾਸ ਟੀਮਾਂ ਲਈ, ਉਹ ਲਿੰਕ ਉਹ ਸਾਧਨ ਬਣ ਗਏ ਹਨ ਜਿਨ੍ਹਾਂ 'ਤੇ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲੱਭਣ ਲਈ ਭਰੋਸਾ ਕਰਦੇ ਹਨ। ਘਟਨਾਵਾਂ ਦੇ ਇੱਕ ਮੋੜ ਵਿੱਚ, ਟ੍ਰੀਵੀ, ਇੱਕ ਪ੍ਰਸਿੱਧ ਓਪਨ-ਸਰੋਤ ਕਮਜ਼ੋਰੀ ਸਕੈਨਰ ਜੋ Aqua ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਬਣਾਈ ਗਈ ਹੈ, ਨੇ ਆਪਣੇ ਆਪ ਨੂੰ ਇੱਕ ਵਧੀਆ ਹਮਲੇ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਪਾਇਆ। ਖ਼ਰਾਬ ਅਦਾਕਾਰਾਂ ਨੇ ਇਸਦੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਦੇ ਅੰਦਰ ਇੱਕ ਖਾਸ ਸੰਸਕਰਣ ਟੈਗ (`v0.48.0`) ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਇਸਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਕਿਸੇ ਵੀ ਵਰਕਫਲੋ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਭੇਦ ਚੋਰੀ ਕਰਨ ਲਈ ਬਣਾਏ ਗਏ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੇ ਹੋਏ। ਇਹ ਘਟਨਾ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ ਸਾਡੇ ਆਪਸ ਵਿੱਚ ਜੁੜੇ ਵਿਕਾਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਨਾ ਕਿ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।
ਟੈਗ ਸਮਝੌਤਾ ਹਮਲੇ ਦਾ ਸਰੀਰ ਵਿਗਿਆਨ
ਇਹ ਟ੍ਰੀਵੀ ਦੇ ਕੋਰ ਐਪਲੀਕੇਸ਼ਨ ਕੋਡ ਦੀ ਉਲੰਘਣਾ ਨਹੀਂ ਸੀ, ਪਰ ਇਸਦੇ CI/CD ਆਟੋਮੇਸ਼ਨ ਦਾ ਇੱਕ ਚਲਾਕ ਵਿਗਾੜ ਸੀ। ਹਮਲਾਵਰਾਂ ਨੇ GitHub ਐਕਸ਼ਨ ਰਿਪੋਜ਼ਟਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ, 'v0.48.0' ਟੈਗ ਲਈ `action.yml` ਫਾਈਲ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸੰਸਕਰਣ ਬਣਾਇਆ। ਜਦੋਂ ਇੱਕ ਡਿਵੈਲਪਰ ਦੇ ਵਰਕਫਲੋ ਨੇ ਇਸ ਖਾਸ ਟੈਗ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ, ਤਾਂ ਕਾਰਵਾਈ ਜਾਇਜ਼ ਟ੍ਰੀਵੀ ਸਕੈਨ ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਇੱਕ ਨੁਕਸਾਨਦੇਹ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲਾਗੂ ਕਰੇਗੀ। ਇਸ ਸਕ੍ਰਿਪਟ ਨੂੰ ਹਮਲਾਵਰ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ ਲਈ - ਜਿਵੇਂ ਕਿ ਰਿਪੋਜ਼ਟਰੀ ਟੋਕਨ, ਕਲਾਉਡ ਪ੍ਰਦਾਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ API ਕੁੰਜੀਆਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਹਮਲੇ ਦੀ ਗੁੰਝਲਦਾਰ ਪ੍ਰਕਿਰਤੀ ਇਸਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਵਿੱਚ ਹੈ; ਸੁਰੱਖਿਅਤ `@v0.48` ਜਾਂ `@main` ਟੈਗਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਡਿਵੈਲਪਰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਹੋਏ, ਪਰ ਜਿਨ੍ਹਾਂ ਨੇ ਸਹੀ ਸਮਝੌਤਾ ਕੀਤੇ ਟੈਗ ਨੂੰ ਪਿੰਨ ਕੀਤਾ, ਉਹਨਾਂ ਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਉਹਨਾਂ ਦੀ ਪਾਈਪਲਾਈਨ ਵਿੱਚ ਇੱਕ ਗੰਭੀਰ ਕਮਜ਼ੋਰੀ ਪੇਸ਼ ਕੀਤੀ।
ਇਹ ਘਟਨਾ DevOps ਵਿਸ਼ਵ ਭਰ ਵਿੱਚ ਕਿਉਂ ਗੂੰਜਦੀ ਹੈ
ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਪਹਿਲਾਂ, ਟ੍ਰੀਵੀ ਇੱਕ ਬੁਨਿਆਦੀ ਸੁਰੱਖਿਆ ਸਾਧਨ ਹੈ ਜੋ ਲੱਖਾਂ ਲੋਕਾਂ ਦੁਆਰਾ ਕੰਟੇਨਰਾਂ ਅਤੇ ਕੋਡ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਸਾਧਨ 'ਤੇ ਹਮਲਾ ਸੁਰੱਖਿਅਤ ਵਿਕਾਸ ਲਈ ਲੋੜੀਂਦੇ ਬੁਨਿਆਦ ਭਰੋਸੇ ਨੂੰ ਖਤਮ ਕਰ ਦਿੰਦਾ ਹੈ। ਦੂਜਾ, ਇਹ "ਉੱਪਰ ਵੱਲ" ਜਾਣ ਵਾਲੇ ਹਮਲਾਵਰਾਂ ਦੇ ਵਧ ਰਹੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਉਹਨਾਂ ਸਾਧਨਾਂ ਅਤੇ ਨਿਰਭਰਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ 'ਤੇ ਹੋਰ ਸਾਫਟਵੇਅਰ ਬਣਾਏ ਗਏ ਹਨ। ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਜ਼ਹਿਰ ਦੇ ਕੇ, ਉਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਡਾਊਨਸਟ੍ਰੀਮ ਪ੍ਰੋਜੈਕਟਾਂ ਅਤੇ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ। ਇਹ ਘਟਨਾ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਕੇਸ ਅਧਿਐਨ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਇਹ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕੋਈ ਵੀ ਔਜ਼ਾਰ, ਭਾਵੇਂ ਕਿੰਨਾ ਵੀ ਪ੍ਰਤਿਸ਼ਠਾਵਾਨ ਹੋਵੇ, ਹਮਲਾ ਕਰਨ ਵਾਲੇ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤੇ ਜਾਣ ਲਈ ਪ੍ਰਤੀਰੋਧਕ ਨਹੀਂ ਹੈ।
ਤੁਹਾਡੀਆਂ GitHub ਕਾਰਵਾਈਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਦਮ
ਇਸ ਘਟਨਾ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ ਨੂੰ ਆਪਣੇ GitHub ਐਕਸ਼ਨ ਵਰਕਫਲੋ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਕਰਨੇ ਚਾਹੀਦੇ ਹਨ। ਸੰਤੁਸ਼ਟੀ ਸੁਰੱਖਿਆ ਦੀ ਦੁਸ਼ਮਣ ਹੈ। ਇੱਥੇ ਤੁਰੰਤ ਲਾਗੂ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਕਦਮ ਹਨ:
ਮੇਵੇਜ਼ ਨਾਲ ਇੱਕ ਲਚਕੀਲਾ ਫਾਊਂਡੇਸ਼ਨ ਬਣਾਉਣਾ
ਜਦੋਂ ਕਿ ਵਿਅਕਤੀਗਤ ਔਜ਼ਾਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੁੰਦਾ ਹੈ, ਅਸਲ ਲਚਕੀਲਾਪਣ ਤੁਹਾਡੇ ਕਾਰੋਬਾਰੀ ਕਾਰਜਾਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਪਹੁੰਚ ਤੋਂ ਆਉਂਦਾ ਹੈ। ਟ੍ਰੀਵੀ ਸਮਝੌਤਾ ਵਰਗੀਆਂ ਘਟਨਾਵਾਂ ਆਧੁਨਿਕ ਟੂਲਚੇਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਛੁਪੀਆਂ ਗੁੰਝਲਾਂ ਅਤੇ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦੀਆਂ ਹਨ। ਮੇਵੇਜ਼ ਵਰਗਾ ਪਲੇਟਫਾਰਮ ਇੱਕ ਏਕੀਕ੍ਰਿਤ, ਮਾਡਯੂਲਰ ਵਪਾਰਕ OS ਪ੍ਰਦਾਨ ਕਰਕੇ ਇਸ ਨੂੰ ਸੰਬੋਧਿਤ ਕਰਦਾ ਹੈ ਜੋ ਨਿਰਭਰਤਾ ਫੈਲਾਅ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਨਿਯੰਤਰਣ ਨੂੰ ਕੇਂਦਰਿਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਦਰਜਨ ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨੂੰ ਜੋੜਨ ਦੀ ਬਜਾਏ-ਹਰ ਇੱਕ ਆਪਣੇ ਸੁਰੱਖਿਆ ਮਾਡਲ ਅਤੇ ਅੱਪਡੇਟ ਚੱਕਰ ਦੇ ਨਾਲ-ਮੇਵੇਜ਼ ਇੱਕ ਸਿੰਗਲ, ਸੁਰੱਖਿਅਤ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਬੰਧਨ, CRM, ਅਤੇ ਦਸਤਾਵੇਜ਼ ਪ੍ਰਬੰਧਨ ਵਰਗੇ ਮੁੱਖ ਕਾਰਜਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਕਸੁਰਤਾ ਹਮਲੇ ਦੀ ਸਤਹ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਦੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਸ਼ਾਸਨ ਨੂੰ ਸਰਲ ਬਣਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਟੀਮਾਂ ਨੂੰ ਇੱਕ ਖੰਡਿਤ ਸੌਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਪੈਚ ਕਰਨ ਦੀ ਬਜਾਏ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦੇਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ। ਅਜਿਹੀ ਦੁਨੀਆ ਵਿੱਚ ਜਿੱਥੇ ਇੱਕ ਇੱਕਲੇ ਸਮਝੌਤਾ ਟੈਗ ਇੱਕ ਵੱਡੀ ਉਲੰਘਣਾ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਮੇਵੇਜ਼ ਦੁਆਰਾ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਏਕੀਕ੍ਰਿਤ ਸੁਰੱਖਿਆ ਅਤੇ ਸੁਚਾਰੂ ਕਾਰਜ ਵਿਕਾਸ ਲਈ ਇੱਕ ਵਧੇਰੇ ਨਿਯੰਤਰਿਤ ਅਤੇ ਆਡਿਟ ਕਰਨ ਯੋਗ ਬੁਨਿਆਦ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
ਅੱਜ ਹੀ ਆਪਣਾ ਕਾਰੋਬਾਰ OS ਬਣਾਓ
ਫ੍ਰੀਲਾਂਸਰਾਂ ਤੋਂ ਲੈ ਕੇ ਏਜੰਸੀਆਂ ਤੱਕ, Mewayz 208 ਏਕੀਕ੍ਰਿਤ ਮੌਡਿਊਲਾਂ ਦੇ ਨਾਲ 138,000+ ਕਾਰੋਬਾਰਾਂ ਨੂੰ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਮੁਫ਼ਤ ਸ਼ੁਰੂ ਕਰੋ, ਜਦੋਂ ਤੁਸੀਂ ਵੱਡੇ ਹੋਵੋ ਤਾਂ ਅੱਪਗ੍ਰੇਡ ਕਰੋ।
ਮੁਫ਼ਤ ਖਾਤਾ ਬਣਾਓ →Try Mewayz Free
All-in-one platform for CRM, invoicing, projects, HR & more. No credit card required.
Get more articles like this
Weekly business tips and product updates. Free forever.
You're subscribed!
Start managing your business smarter today
Join 8,961+ businesses. Free forever plan · No credit card required.
Ready to put this into practice?
Join 8,961+ businesses using Mewayz. Free forever plan — no credit card required.
Start Free Trial →Related articles
Hacker News
FBI looks into dead or missing scientists tied to NASA, Blue Origin, SpaceX
Apr 22, 2026
Hacker News
OpenAI reinvents Recall except everything is stored remotely
Apr 22, 2026
Hacker News
Kuri – Zig based agent-browser alternative
Apr 22, 2026
Hacker News
Global growth in solar "the largest ever observed for any source"
Apr 22, 2026
Hacker News
San Diego rents declined following surge in supply
Apr 22, 2026
Hacker News
I'm Sick of AI Everything
Apr 22, 2026
Ready to take action?
Start your free Mewayz trial today
All-in-one business platform. No credit card required.
Start Free →14-day free trial · No credit card · Cancel anytime